Nos encontramos en un momento de transición en las organizaciones con redes de tecnología operativa (OT) utilizadas en entornos como fábricas e infraestructuras críticas. Los entornos OT, anteriormente aislados, y los de tecnologías de la información (IT), están cada vez más conectados para satisfacer las necesidades empresariales, respaldar las iniciativas digitales y proteger a los trabajadores remotos.
Aunque estas conexiones pueden mejorar la producción mediante el intercambio de datos y el acceso a nuevas herramientas basadas en la nube, esta convergencia TT/OT facilita a los ciberdelincuentes el acceso a entornos OT previamente protegidos, exponiéndoles a vulnerabilidades y aumentando los riesgos de seguridad y producción.
La seguridad tradicional basada en el perímetro es cada vez más compleja, debido a la migración a la nube, lo que lleva un mayor número de organizaciones a pasar de un modelo de seguridad de confianza implícita a uno de confianza cero. Sin embargo, muchas organizaciones de OT tienen dificultades para implantar la confianza cero sin fisuras en todas sus infraestructuras críticas, por los retos específicos de estos entornos:
- A menudo incluyen tecnología heredada desplegada mucho antes de que la ciberseguridad fuera una consideración. Algunos equipos, que se diseñaron para funcionar a largo plazo, tienen ya 20 ó 30 años de antigüedad.
- Mientras que los presupuestos de TI están optimizados para dar prioridad al acceso y la experiencia del usuario, los presupuestos de OT se centran en la fiabilidad y disponibilidad del servicio.
- La falta de estandarización conduce a la complejidad de las OT y a una amplia gama de tecnologías, que a menudo operan en condiciones menos que ideales con una gran superficie de ataque.
- Cualquier tiempo de inactividad puede provocar la pérdida de producción o la interrupción de infraestructuras críticas que pueden conllevar graves riesgos para la salud y la seguridad.
Incluso con estos desafíos, el interés por adoptar una estrategia de confianza cero es alto debido al aumento de los ataques. El informe de Fortinet sobre el Estado de la Tecnología Operativa y la Ciberseguridad reveló que tres cuartas partes de las organizaciones OT informaron de al menos una intrusión en el último año, y casi un tercio de los encuestados reconocieron haber sido víctimas de un ataque de ransomware.
Adoptar una mentalidad de confianza cero
A nivel conceptual, la confianza cero transforma la mentalidad de seguridad de un modelo de confianza implícita a uno de asumir una brecha, en el que no se confía en nada sin verificar. En términos más prácticos, la confianza cero se refiere a un modelo de seguridad en el que a los usuarios y dispositivos ya no se les concede acceso automáticamente en función de su ubicación en la red. En su lugar, se centra en la evaluación de la confianza en función de cada transacción. Los grados de acceso pueden concederse a usuarios y dispositivos verificados en función de los factores contextuales que rodean la solicitud, y se re-verifican o re-evaluan los permisos con cierta frecuencia.
Los enfoques para implantar un modelo de confianza cero varían, y puede ser difícil evaluar las soluciones porque las siglas de las soluciones comunes a menudo no están bien definidas.
Una solución de acceso de confianza cero (ZTA) se centra en identificar y supervisar qué usuarios y dispositivos acceden a la red. A medida que aumenta el número de usuarios que trabajan de forma remota y proliferan los dispositivos del Internet Industrial de las cosas (IIoT) en los entornos de OT, las organizaciones deben verificar continuamente todos los usuarios y dispositivos que acceden a las aplicaciones y los datos.
Una solución de acceso a la red de confianza cero (ZTNA) se refiere al acceso a aplicaciones en el que no se confía en ningún usuario o dispositivo para acceder a una aplicación a menos que demuestre sus credenciales. El acceso a la red de confianza cero se cita a menudo como una evolución natural de los túneles tradicionales de red privada virtual (VPN), que asumen que cualquier elemento que pase los controles del perímetro de la red es de confianza. A diferencia de una VPN, ZTNA extiende el modelo de confianza cero más allá de la red y reduce la superficie de ataque al ocultar las aplicaciones de Internet.
Para implementar eficazmente la confianza cero en un entorno OT, los CISO, los responsables de planta y los responsables de seguridad pueden necesitar considerar cómo operan sus sistemas de automatización y control industrial dentro del entorno OT y cualquier aspecto relacionado con la seguridad. Por ejemplo, en algunos casos, la garantía de los proveedores de automatización puede restringir o limitar lo que puede ocurrir en la red. También es importante verificar que la tecnología de confianza cero es compatible con la tecnología heredada en los entornos OT. En muchos casos, ciertos componentes OT, como los controladores lógicos programables (PLC) o las interfaces hombre-máquina (HMI), no son compatibles con las tecnologías o protocolos necesarios para integrarse plenamente con una implementación de confianza cero. Para algunos dispositivos y sistemas OT, la confianza cero puede no ser práctica.
Del OT al Zero Trust
A medida que se acelera la convergencia IT/OT, los responsables de seguridad deben evolucionar hacia un modelo de confianza cero para mantener sus entornos OT a salvo de interrupciones debidas a eventos de seguridad internos o externos. A grandes rasgos, el paso de la OT a la confianza cero se divide en tres categorías principales:
- Personas: empezar a concienciar a los usuarios sobre los riesgos de la convergencia IT/OT y formarles sobre cómo las soluciones de confianza cero pueden ayudar a proteger la organización contra las amenazas oportunistas.
- Procesos: las organizaciones necesitan un control completo y continuo sobre quién y qué está en la red, incluidos los proveedores de automatización y los proveedores de servicios.
- Tecnologías: evalúe las soluciones de confianza cero para entornos OT y tenga en cuenta que también pueden afectar a la cadena de suministro en general. Busque un proveedor de seguridad de confianza cero con relaciones sólidas en todo el ecosistema.
Para adoptar eficazmente la confianza cero, las organizaciones necesitan soluciones capaces de realizar operaciones de seguridad convergentes. Una plataforma amplia, integrada y automatizada que incluya soluciones de redes seguras, confianza cero, operaciones de red y operaciones de seguridad es la aproximación más adecuada. Además, debe comprender soluciones específicas de OT que vayan desde productos de perímetro hasta herramientas NOC y SOC, junto con servicios para garantizar un rendimiento eficaz y eficiente de las redes y la ciberseguridad, todo ello nutrido con inteligencia de amenazas de OT impulsada por IA para estar protegidos frente a las últimas amenazas.
Gorka Sáinz, Director, Systems Engineering Fortinet Iberia
